Rus Hackerlarının DNC Sızıntısı ile Bağlantılı Olduğu Belirtilen HP Enterprise Şirketi Büyük Bir Siber Saldırıya Uğradı

25.01.2024

Sözde Kremlin ile ilişkilendirilen şüpheli hacker'lar, bilgi teknolojisi şirketi Hewlett Packard Enterprise'ın (HPE) bulut e-posta ortamına sızdığına inanılıyor. HPE, ABD Menkul Kıymetler ve Borsa Komisyonu'na (SEC) yaptığı son düzenleyici bildirimde, Rus devlet destekli APT29 adlı grupla ilişkilendirilen bir tehdit aktörünün, BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard ve The Dukes gibi bilinen isimlere sahip, HPE'nin küçük bir yüzdesine ait e-posta kutularına yetkisiz erişim sağlayarak veri çıkardığını açıkladı. Etkilenen e-posta kutuları, siber güvenlik, pazarlama ve iş segmentleri de dahil olmak üzere çeşitli departmanlardaki bireylere aitti.

Sızma iddiasına göre, olay Mayıs 2023'te başladı ve HPE, 12 Aralık 2023'te olaydan haberdar oldu. Bu, tehdit aktörlerinin HPE'nin ağı içinde tespit edilmeden altı aydan fazla süre operasyon yürüttüğü anlamına geliyor. Sızma, önceki bir APT29 olayına bağlı olduğu düşünülen, Mayıs 2023'te sınırlı sayıda SharePoint dosyasına yetkisiz erişim ve veri çıkarma olayıyla ilişkilendiriliyor. HPE, bu faaliyetten Haziran 2023'te haberdar oldu.

Değerlendirmeye değer bir husus, HPE'nin şimdiye kadar operasyonları üzerinde herhangi bir maddi etkisi olmadığını vurgulamasıdır. Şirket, saldırının boyutunu açıklamadı veya ihlal sırasında erişilen kesin e-posta bilgilerini belirtmedi.

Bu açıklama, Microsoft'un aynı tehdit aktörünü 2023'ün kasım ayında kurumsal sistemlerine yönelik bir sızma olayıyla suçlamasının hemen ardından geldi. O olayda APT29, Microsoft'un siber güvenlik ve hukuk departmanlarını hedef alarak üst düzey yöneticilerin e-postalarını ve eklerini çaldı.

APT29, Rusya'nın Dış İstihbarat Servisi (SVR) bünyesinde olduğuna inanılan, son yıllarda dikkat çeken siber saldırılarla ilişkilendirilmiştir; bunlar arasında 2016'daki Demokrat Ulusal Komitesi saldırısı ve 2020 SolarWinds tedarik zinciri komplosu bulunmaktadır.